Label TISAX® yang baru: apa yang harus dipertimbangkan

• Kondisi yang berubah - persyaratan baru
• Mengapa label Ketersediaan dan Kerahasiaan TISAX^® yang baru diperkenalkan?
• Sekilas tentang label TISAX^® yang baru
• Label TISAX^® yang dibutuhkan perusahaan
• Tujuan penilaian, label, dan tingkat penilaian - penjelasan singkat tentang perbedaannya
• Untuk sertifikasi menurut katalog ISA yang lama, diperlukan analisis GAP
• Label TISAX^® yang baru - Kesimpulan
• DQS adalah mitra terpercaya Anda

Mengapa label ^TISAX® Ketersediaan dan Kerahasiaan yang baru diperkenalkan?

Pemasok dan penyedia layanan terlibat erat dalam proses pengembangan dan produksi produsen otomotif - tetapi terkadang menjalankan peran yang sangat berbeda: Beberapa perusahaan dipercayakan dengan informasi yang sangat sensitif tetapi pada akhirnya tidak terlibat lebih lanjut dalam produksi aktual. Perusahaan lainnya memasok komponen penting yang fundamental untuk produksi kendaraan tetapi tidak memiliki wawasan tentang rahasia bisnis perusahaan pembuatnya.

Untuk lebih mencerminkan peran yang berbeda ini, label lama "keamanan informasi" telah dipecah menjadi dua label baru -"ketersediaan" dan"rahasia". Pemasok dan penyedia layanan tidak lagi harus memenuhi semua persyaratan katalog ISA 6.0, karena setiap label hanya mewakili sebagian saja. Pembagian ini dimaksudkan untuk mengurangi beban perusahaan dan membuat proses audit menjadi lebih efisien.

Namun, perlu dicatat bahwa katalog Penilaian Keamanan Informasi (ISA) telah diperluas untuk memasukkan beberapa persyaratan tambahan mengingat lanskap ancaman yang telah berubah. Selain melindungi rahasia, kemampuan untuk mengirimkan - kata kunci: produksi tepat waktu - juga harus dipastikan, karena hal ini semakin berisiko dari serangan ransomware. Oleh karena itu, persyaratan baru ini juga mencakup langkah-langkah perlindungan yang lebih kuat untuk sistem PL.

Sekilas tentang label TISAX^® yang baru

Untuk perusahaan yang dipercayakan dengan informasi sensitif, misalnya rahasia bisnis atau data pribadi, sekarang ada label "Rahasia" dan "Sangat Rahasia". Label "Ketersediaan Tinggi" dan "Ketersediaan Sangat Tinggi" ditujukan untuk pemasok yang memainkan peran penting dalam kemampuan perusahaan untuk memberikan layanan.

Langkah-langkah yang harus diterapkan untuk label TISAX^® yang baru - selain persyaratan dasar - ditandai dengan jelas dalam katalog penilaian ISA 6.0: Untuk rahasia dengan huruf "C", untuk ketersediaan dengan huruf "A". Banyak persyaratan yang ditandai dengan kedua huruf tersebut dan oleh karena itu, berlaku untuk kedua label baru tersebut.

"Rahasia"

Label "Rahasia" berfokus pada perlindungan informasi rahasia, yang pengungkapannya secara tidak sah dapat menimbulkan konsekuensi negatif yang cukup besar seperti hilangnya reputasi, tuntutan pidana, atau kerusakan finansial.

Dalam kontrol katalog ISA, 28 persyaratan khusus didefinisikan dalam kolom "Persyaratan tambahan untuk kebutuhan perlindungan tinggi" dan ditandai dengan "C", yang harus dipenuhi untuk label ini.

Kontrol berikut ini perlu mendapat perhatian khusus karena upaya penerapannya (persyaratan dalam tanda kurung):

• 3.1.3 (Melindungi dan membuang informasi dengan aman pada perangkat pendukung seperti printer, mesin penghancur kertas, kamera, atau kertas)
• 3.1.4 (Mengenkripsi data pada perangkat seluler)
• 5.1.1 (Perlindungan hukum terhadap kontrol atas data yang dimiliki melalui kontrak, spesifikasi, jaminan, terutama untuk pemrosesan data eksternal)
• 5.1.2 (Mengenkripsi rute transportasi digital untuk informasi)

Kontrol yang disebutkan di sini hanya ditandai dengan "C", bukan "A". Ini berarti bahwa kontrol tersebut hanya relevan untuk kerahasiaan. Oleh karena itu, persyaratan ini tidak perlu dipenuhi dalam proses audit yang hanya bertujuan untuk memberi label ketersediaan.

"Sangat Rahasia"

Label "Sangat Rahasia" berfokus pada perlindungan informasi yang sangat rahasia dan rahasia, yang pengungkapannya secara tidak sah dapat menimbulkan konsekuensi yang sangat besar atau bahkan mengancam nyawa, seperti kerusakan reputasi yang serius, konsekuensi kriminal yang berat, atau kerugian finansial yang sangat besar.

Dalam kontrol kuesioner ISA, sembilan persyaratan khusus didefinisikan dalam kolom "Persyaratan tambahan untuk kebutuhan perlindungan yang sangat tinggi" dan ditandai dengan "C", yang harus dipenuhi untuk label ini - sebagai tambahan untuk label "Rahasia".

Kontrol berikut ini memerlukan perhatian khusus karena upaya penerapannya:

• 1.6.1 (Melakukan dan memberikan bukti latihan rutin untuk mengelola insiden keamanan informasi)
• 4.1.2 (Otentikasi dua faktor - atau lebih tinggi - untuk akses ke informasi dengan persyaratan perlindungan yang sangat tinggi)
• 4.2.1 (Mengenkripsi informasi dengan persyaratan perlindungan yang sangat tinggi; tinjauan triwulanan terhadap hak akses yang diberikan untuk mengetahui kesesuaiannya)
• 5.1.2 (Mengenkripsi konten informasi untuk transportasi digital)
• 5.2.4 (Mencatat akses ke informasi dengan persyaratan perlindungan yang sangat tinggi)
• 5.2.8 (Konsep pencadangan data dengan lokasi alternatif untuk penyimpanan dan penyimpanan cadangan)
• 5.3.1 (Memeriksa keamanan perangkat lunak yang dikembangkan sendiri atau untuk pelanggan - selama implementasi, jika terjadi perubahan, dan secara berkala)

Penting juga untuk mencatat perbedaan yang jelas dari label untuk ketersediaan: Secara khusus, persyaratan yang tercantum di sini untuk kontrol 4.1.2, 4.2.1, 5.1.2, dan 5.2.4 hanya ditandai dengan "C". Ini berarti persyaratan tersebut hanya relevan untuk proses audit untuk label "Sangat Rahasia".

"Ketersediaan Tinggi"

Perusahaan memerlukan label "Ketersediaan Tinggi" jika ketersediaan produk atau layanan mereka secara langsung berdampak pada kemampuan produksi atau pengiriman perusahaan yang bergantung padanya, dan kegagalan dapat menyebabkan kerusakan yang cukup besar. Contoh yang umum adalah pemasok bahan produksi yang tepat waktu atau pemasok layanan atau bahan baku yang sangat terspesialisasi yang tidak dapat diganti dengan segera.

Dalam kontrol katalog ISA 6.0, 36 persyaratan didefinisikan dalam kolom "Persyaratan tambahan untuk kebutuhan perlindungan tinggi", yang ditandai dengan "A" dan oleh karena itu harus dipenuhi untuk label ini.

Kontrol berikut ini memerlukan perhatian khusus dalam upaya penerapannya:

• 1.6.3 (Mempersiapkan diri untuk situasi krisis: Skenario krisis, kontak, strategi komunikasi, simulasi krisis secara rutin)
• 5.2.8 (Langkah-langkah untuk mencegah gangguan yang disebabkan oleh ancaman internal - seperti perlindungan cadangan - dan pemadaman layanan eksternal, misalnya, melalui SLA yang sesuai)
• 5.2.9 (Konsep pencadangan dan pemulihan: pemeriksaan rutin pencadangan dan uji coba pemulihan)
• 5.3.2 (Pemantauan lalu lintas jaringan, analisis ketersediaan layanan pusat)

Persyaratan yang disebutkan di sini hanya ditandai dengan "A", yaitu, persyaratan tersebut hanya relevan untuk ketersediaan. Oleh karena itu, persyaratan ini tidak perlu dipenuhi dalam proses audit yang hanya bertujuan untuk memberi label kerahasiaan.

"Ketersediaan Sangat Tinggi"

Perusahaan memerlukan label "Ketersediaan Sangat Tinggi" jika ketersediaan jangka pendek dari produk atau layanan mereka sendiri sangat memengaruhi kemampuan produksi atau pengiriman perusahaan yang bergantung pada perusahaan lain dan kegagalan menyebabkan kerusakan yang cukup besar. Contoh tipikal adalah pemasok just-in-time, yang kegagalannya akan mengakibatkan penghentian produksi yang cepat dan ekstensif dengan waktu restart yang sangat lama.

Dalam kontrol katalog ISA, 13 persyaratan didefinisikan dalam kolom "Persyaratan tambahan untuk kebutuhan perlindungan yang sangat tinggi". Persyaratan ini ditandai dengan "A" dan oleh karena itu harus dipenuhi untuk label ini - selain persyaratan untuk label "Ketersediaan Tinggi".

Kontrol berikut ini memerlukan perhatian khusus karena upaya penerapannya:

• 1.6.1 (Melakukan dan memberikan bukti latihan rutin untuk mengelola insiden keamanan informasi
• 1.6.2 (Melakukan jenis insiden keamanan informasi yang jarang terjadi)
• 1.6.3 (Melakukan dan memberikan bukti latihan rutin untuk mengelola situasi krisis)
• 5.2.6 (Analisis sistem otomatis secara teratur terhadap sistem TI, dengan mempertimbangkan sistem kontrol OT/industri)
• 5.2.8 (Konsep pencadangan data dengan lokasi alternatif untuk penyimpanan dan penyimpanan cadangan; koordinasi rencana kontinjensi sendiri dengan rencana kontinjensi penyedia layanan eksternal; strategi pencadangan dengan sistem pengganti dan lokasi pengganti untuk penyimpanan dan cadangan untuk mempertahankan proses bisnis)
• 5.2.9 (Pengujian konsep pencadangan data secara teratur; lokasi pencadangan yang terdistribusi secara geografis; sistem pencadangan yang diisolasi sebisa mungkin dengan pencadangan yang tidak dapat diubah secara teknis)
• 5.3.1 (Memeriksa keamanan perangkat lunak yang dikembangkan sendiri atau untuk pelanggan - selama implementasi, jika terjadi perubahan, dan secara berkala)

Persyaratan kontrol 1.6.2, 1.6.3, 5.2.6, dan 5.2.9 yang tercantum di sini hanya diperiksa selama proses audit untuk label "Ketersediaan Sangat Tinggi" dan oleh karena itu tidak relevan untuk label TISAX untuk kerahasiaan.

Secara umum, kedua label untuk "Ketersediaan" meningkatkan fokus pada pemeliharaan kemampuan produksi (OT). Pengetahuan internal perusahaan tentang rekomendasi produsen OT, risiko OT, dan langkah-langkah keamanan untuk jaringan OT, serta manajemen OT akan mendapat perhatian yang lebih besar dalam audit.

Label TISAX^® yang dibutuhkan perusahaan

Pertanyaan tentang label mana yang dibutuhkan dalam praktiknya tentu saja bergantung pada peran perusahaan dalam rantai pasokan. Pada setiap tahap rantai pasokan, perusahaan harus bertanya pada diri sendiri pemasok mana yang mereka andalkan dan pemasok mana yang dipercayakan dengan informasi sensitif.

Oleh karena itu, manajemen pemasok yang disyaratkan oleh TISAX^® pada setiap tahap mengarah pada persyaratan label khusus peran yang mengalir ke rantai pasokan. Mekanisme pertukaran, di mana pemasok dapat merujuk pada label yang ada untuk membuktikan kepatuhan terhadap persyaratan, sangat berguna di sini. Hasil penilaian dapat tersedia bagi pihak yang berkepentingan.

Misalkan sebuah perusahaan secara profilaksis menuntut kedua label baru, meskipun tidak ada kebutuhan untuk label kerahasiaan atau ketersediaan. Dalam hal ini, ada baiknya untuk melakukan diskusi lagi tentang pemahaman bersama tentang peran mengingat biaya implementasi yang berpotensi jauh lebih tinggi.

Hubungan antara label TISAX dan tingkat penilaian juga harus dipertimbangkan: Label "Ketersediaan sangat tinggi" dan "Sangat rahasia" hanya dapat diberikan melalui penilaian pada level 3, yaitu melalui penilaian di tempat.

Tujuan penilaian, label, dan tingkat penilaian - penjelasan singkat tentang perbedaannya

Pada bagian sebelumnya, kami menggunakan beberapa istilah yang akan kami jelaskan secara singkat dan bedakan satu sama lain di sini:

• Tujuan penilaian TISAX^®: berdasarkan spesifikasi mitra manufaktur mereka, pemasok menggunakan tujuan penilaian untuk menentukan persyaratan mana yang harus mereka penuhi dalam audit.
• Label TISAX^®: Setelah lulus audit, perusahaan menerima label TISAX® untuk tujuan penilaian yang dipilih dalam database ^TISAX® sebagai konfirmasi bahwa mereka telah memenuhi persyaratan.
• Tingkat TISAX^®: Pemenuhan persyaratan dinilai secara berbeda tergantung pada tingkat penilaian. Level 1 adalah penilaian mandiri. Pada Level 2, penilaian mandiri diperiksa kelayakannya oleh auditor eksternal, dilengkapi dengan wawancara jarak jauh. Pada Level 3, auditor memeriksa efektivitas di lokasi.

Untuk sertifikasi menurut katalog ISA yang lama, diperlukan analisis GAP

Penting bagi perusahaan yang masih disertifikasi dengan label "Info" yang lama:

• Untuk membuat fase transisi sesederhana mungkin, perusahaan dengan label "Info Tinggi" secara otomatis diberi label "Rahasia" dan "Ketersediaan Tinggi" hingga tanggal kedaluwarsa.
• Demikian pula, label "Info Sangat Tinggi" diubah menjadi label "Sangat Rahasia" dan "Ketersediaan Sangat Tinggi".

Hal ini juga berlaku untuk proses audit yang penawarannya diterima sebelum tanggal 1 April, dan perpanjangan ruang lingkup berikutnya, yang keduanya masih dapat dilakukan sesuai dengan katalog ISA 5.1 yang lama.

Namun, perlu dicatat bahwa perusahaan yang bersangkutan harus disertifikasi sesuai dengan katalog audit ISA yang berlaku saat itu setelah label TISAX mereka, yang berlaku selama tiga tahun, berakhir. Sertifikasi baru harus tersedia segera setelah label lama habis masa berlakunya. Oleh karena itu, mereka yang bertanggung jawab disarankan untuk melakukan analisis kesenjangan pada tahap awal agar dapat mengimplementasikan penyesuaian sistem manajemen keamanan informasi (ISMS) pada waktu yang tepat dan bersiap untuk audit TISAX^® berikutnya.

Untuk analisis kesenjangan ini, Asosiasi ENX telah menyediakan katalog persyaratan khusus di mana semua perubahan antara ISA 5.1 dan ISA 6.0 dicantumkan dan ditandai dengan warna merah. Hal ini memungkinkan perusahaan untuk melihat persyaratan baru mana yang telah ditambahkan dengan cepat. Apa yang perlu diperhitungkan: Ini adalah dokumen tambahan. Untuk audit, perusahaan harus selalu mengunduh versi terbaru dari katalog audit ISA dari situs web ENX.

Perubahan-perubahan berikut ini sangat mencolok:

• Kontrol 1.3.4 yang baru mungkin memerlukan investasi dalam perangkat lunak baru, misalnya untuk manajemen lisensi.
• Kontrol 1.6.1 dan 1.6.2 yang telah dimodifikasi secara ekstensif sekarang memerlukan respons insiden yang terkoordinasi dan diuji secara teratur.
• Kontrol 3.1.2 telah digantikan oleh kontrol baru 1.6.3, 5.2.8 dan 5.2.9, yang memberlakukan sejumlah persyaratan baru terkait penanganan krisis, manajemen keberlangsungan bisnis, dan pencadangan data.

Label TISAX^® yang baru - Kesimpulan

Label baru untuk kerahasiaan dan ketersediaan harus memastikan efisiensi yang lebih besar dalam sertifikasi TISAX^® di masa depan, karena audit sekarang dilakukan berdasarkan peran tertentu. Ini berarti bahwa pemasok dan penyedia layanan tidak lagi harus menerapkan setiap persyaratan dalam katalog. Namun, terlihat bahwa lebih banyak persyaratan yang harus dipenuhi untuk label ketersediaan dibandingkan dengan kerahasiaan. Hal ini disebabkan oleh fokus baru untuk memastikan kemampuan pengiriman dan mengamankan lingkungan PL, yang telah disertakan dalam semua kontrol pada katalog ISA saat ini.

Katalog yang direvisi dan diperluas sebagian juga berisi beberapa persyaratan baru, beberapa di antaranya hanya dapat dipenuhi dengan upaya dan waktu tunggu yang sesuai. Oleh karena itu, analisis kesenjangan awal direkomendasikan untuk perusahaan dengan sertifikasi menurut katalog lama, karena mereka "hanya" menerima label baru melalui konversi otomatis label lama untuk keamanan informasi.

Tantangan khusus muncul bagi pelanggan yang telah menerima label mereka di masa lalu sebagai bagian dari prosedur pengambilan sampel bergilir (Rotating SGA). Karena alasan biaya, perusahaan-perusahaan ini ingin beralih ke prosedur pengambilan sampel yang sebenarnya (SGA berbasis sampel) pada tahun terakhir masa berlaku label. Oleh karena itu, mereka harus menyelesaikan Penilaian SGA Berputar pada tahun ketiga, mengonversi ISMS mereka ke katalog ISA yang baru, dan menyelesaikan Penilaian SGA Berbasis Sampel sebelum masa berlaku label berakhir agar dapat memperpanjang label dengan lancar.

DQS adalah mitra terpercaya Anda

TISAX^® - seperti halnya ENX VCS untuk Keamanan Siber Kendaraan - dikembangkan oleh Asosiasi ENX. DQS telah disetujui oleh ENX sebagai penyedia layanan penilaian dan oleh karena itu dapat melakukan penilaian di seluruh dunia - dan juga telah tersertifikasi TISAX^®. Dan karena banyak auditor TISAX^® kami yang juga terakreditasi untuk standar internasional untuk keamanan informasi ISO 27001, kami dapat menilai kedua standar tersebut pada saat yang sama dan dengan sedikit usaha tambahan. Kami berharap dapat berbicara dengan Anda.

Catatan: Akses ke TISAX^® adalah melalui pendaftaran peserta, yang harus dilakukan secara online di portal ENX. Ini merupakan prasyarat untuk dapat menugaskan penyedia layanan penilaian yang telah disetujui seperti DQS.

Kepercayaan dan keahlian

Teks dan brosur kami ditulis secara eksklusif oleh para ahli standar kami atau auditor yang telah lama bekerja. Jika Anda memiliki pertanyaan mengenai isi teks atau layanan kami kepada penulis kami, silakan hubungi kami.